EU AI Act Article 12 — מה זה אומר לסטארטאפ ישראלי

אם הסטארטאפ שלכם מוכר ללקוחות באירופה, או עובד עם שותפים שמוכרים לאירופה — EU AI Act חל עליכם. באוגוסט 2026, Article 12 נכנס לאכיפה מלאה. הנה מה שצריך לדעת ואיך לעמוד בזה.

מה זה EU AI Act?

EU AI Act (Regulation 2024/1689) הוא החוק הראשון בעולם שמסדיר בינה מלאכותית בצורה כוללת. הוא קובע רמות סיכון שונות למערכות AI — מ"לא מסוכן" (כמו ספאם-פילטר) ועד "אסור" (כמו social scoring ממשלתי). ככל שהסיכון גבוה יותר, הדרישות מחמירות.

רוב הסטארטאפים הישראליים לא נופלים בקטגוריה של "אסור". הם נופלים בקטגוריה של "בסיכון גבוה" (high-risk), שכוללת מערכות שמשפיעות על:

מה דורש Article 12?

Article 12 (Article 12 — Record-keeping) מתמקד בתיעוד. זה הסעיף שמשפיע ישירות על כל מי שמפעיל מערכת AI בסיכון גבוה:

1. רישום אוטומטי של פעולות

Automatic logging — כל פעולה של המערכת חייבת להירשם באופן אוטומטי, לאורך כל מחזור החיים שלה. ההגדרה של "פעולה" היא רחבה: קלט, פלט, קריאות API, החלטות, אינטראקציות.

2. שמירת לוגים לתקופה מינימלית

הלוגים חייבים להישמר לתקופה שלא תקצר מ-6 חודשים. הרבה חברות שומרות לוגים ל-30 יום, מה שלא מספיק ל-Article 12. צריך גם לתכנן retention לתקופות ארוכות יותר עבור תעשיות רגולטוריות (בריאות, פיננסים).

3. Traceability מלאה

צריך להיות אפשר לעקוב אחר כל החלטה מקלט ועד פלט. מה היו הנתונים, איזה גרסה של המודל רץ, מה היו הפרמטרים, מה היו התוצאות הביניים. לא מספיק "ה-AI החליט X" — צריך להראות למה.

4. Tamper-Evident Storage

הלוגים חייבים להיות חסיני שיבוש. אם מישהו שינה רשומה אחרי שנכתבה, זה צריך להיות ניתן לזיהוי. במילים פשוטות: hash chain עם חתימה דיגיטלית.

5. נגישות לרשויות

הלוגים צריכים להיות נגישים לרשויות פיקוח כשהן מבקשות. זה לא אומר public — זה אומר שצריך להיות תהליך מובנה של "לחיצת כפתור → bundle חתום → שליחה לרגולטור".

"High-risk AI systems shall be designed and developed with capabilities enabling the automatic recording of events ('logs') over the lifetime of the system. The logs shall be kept for a period appropriate to the intended purpose of the high-risk AI system, of at least 6 months."

— EU AI Act, Article 12 (1)

מי חייב לעמוד בזה?

כל מי שמציע מוצרים או שירותים שכוללים AI בסיכון גבוה ב-EU. זה כולל:

מתי זה נכנס לתוקף?

בשלבים. Article 12 נכנס לאכיפה מלאה באוגוסט 2026 — זה אומר שיש לכם בדיוק חודשיים אחרי היום הזה לעמוד בזה. אחרי התאריך הזה, אי-עמידה היא עבירה אזרחית.

מה הקנסות?

עד 15 מיליון אירו או 3% מהמחזור השנתי העולמי, הגבוה מביניהם.

עבור רוב הסטארטאפים, הסכום היחסי (3% מהמחזור) יהיה קטן יותר מ-15M. אבל 3% מהמחזור על אי-עמידה ב-EU AI Act היא סכום שמחסל סטארטאפ ברגע.

איך AI Integrity עוזר?

AI Integrity נבנה בדיוק עבור Article 12. הנה איך הוא עונה על כל אחת מהדרישות:

1. Automatic Logging

3 שורות Python וכל החלטה אוטומטית של ה-AI agent נרשמת — קלט, פלט, היגיון, חותמת זמן, מזהה סוכן. בלי לכתוב שורה אחת של logging code.

# Install and add 3 lines $ pip install ai-integrity from ai_integrity import AgentClient client = AgentClient(api_key="aik_live_...") @client.track(tool="loan_decision") def evaluate_loan(application): return my_llm.analyze(application)

2. 6+ Months Retention

ה-DB שלנו תומך ב-retention policies מובנים. ברירת המחדל היא 7 שנים (מתאים לתעשיות מרובות-רגולציה), אבל אפשר להגדיר 6 חודשים לפי הצורך.

3. Traceability

כל אירוע כולל metadata מלא: איזה agent, איזה גרסה, אילו קלטים, מה היו פעולות הביניים. אפשר לשחזר כל החלטה מקלט ועד פלט.

4. Tamper-Evidence

SHA-256 hash chain — כל רשומה מקושרת לקודמתה. שינוי אחד בעבר = שרשרת שבורה = זיהוי מיידי. מתמטית מוכח, לא הצהרה.

5. Bundle for Authorities

Evidence bundle חתום ב-Ed25519 — קובץ ZIP שמכיל את כל הלוגים, ההוכחה, והסיכום. הרגולטור יכול לאמת את החתימה בלי להתקין שום דבר. זה בדיוק מה ש-Article 12 דורש.

מה ההבדל בין EU AI Act ל-GDPR?

GDPR מסדיר איך מעבדים מידע אישי. EU AI Act מסדיר איך בונים ומפעילים מערכות AI. הם לא סותרים, הם משלימים:

הקנס המצטבר יכול להגיע ל-7% מהמחזור — לא תרחיש סביר לסטארטאפ, אבל גם לא בלתי-אפשרי.

שאלות נפוצות

האם EU AI Act חל על סטארטאפים ישראליים?
כן, בעקיפין. EU AI Act חל על כל חברה שמציעה מוצרים או שירותים באיחוד האירופי, גם אם היא לא מבוססת שם. אם הסטארטאפ שלכם מוכר ללקוחות בגרמניה, צרפת, או הולנד — ה-EU AI Act חל עליכם. גם אם אתם לא מוכרים לאירופה ישירות, לקוחות שלכם (למשל בנקים בארה״ב שעובדים עם ספקים אירופיים) עלולים לדרוש מכם תאימות.
מה דורש Article 12?
Article 12 דורש ממערכות AI בסיכון גבוה: (1) רישום אוטומטי של פעולות לאורך כל מחזור החיים. (2) שמירת לוגים לתקופה שלא תקצר מ-6 חודשים. (3) Traceability מלאה של המערכת — ניתן לעקוב אחר כל החלטה מקלט ועד פלט. (4) Tamper-evident storage — כל שינוי בלוג חייב להיות ניתן לזיהוי. (5) Information to enable post-market monitoring by authorities.
מתי EU AI Act נכנס לתוקף?
ה-EU AI Act נכנס לתוקף באוגוסט 2024, אבל הדרישות נכנסות בהדרגה: פברואר 2025 — איסור על שימושים פרובלמטיים. אוגוסט 2025 — חובות על מודלים כלליים (GPT, Claude). אוגוסט 2026 — חובות מלאות על מערכות בסיכון גבוה, כולל Article 12. אוגוסט 2027 — חובות על מערכות מוטמעות.
מה הקנס אם לא עומדים ב-EU AI Act?
עד 15 מיליון אירו, או 3% מהמחזור השנתי העולמי, הגבוה מביניהם. עבור חברות קטנות — עד 7.5 מיליון אירו או 1% מהמחזור. בנוסף, הרשויות יכולות להורות להפסיק שיווק, לאסור שימוש, ולחייב תיקונים.
מה ההבדל בין EU AI Act ל-GDPR?
GDPR מסדיר איך מעבדים מידע אישי באיחוד האירופי. EU AI Act מסדיר איך בונים ומפעילים מערכות AI, ללא קשר למידע שהן מעבדות. במקרים רבים, מערכת AI בסיכון גבוה שמעבדת מידע אישי צריכה לעמוד בשניהם. הקנסות מצטברים — אי-עמידה בשניהם יכולה להגיע ל-7% מהמחזור.

מתחילים עם AI Integrity

3 שורות Python. תאימות מלאה ל-EU AI Act Article 12, תיקון 13, והוראה 369. קוד פתוח (MIT).

לקוד ב-GitHub ←